💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

发现“鉴定为有病”那句被 yuhan 折叠了，我说下为什么火气这么大吧，首先这个人在 Xray 群就已经在说 REALITY public key 应当公开然后大谈主动探测了，**当时频道已经明确说了它不应公开，结果这个人还注册个小号假正经地一通分析最后 Summary “不如 TLS”**

谁看了都火大，然后我总结一下，他第一点的错误在于他 不仅要先把 REALITY public key 和 IP 地址一起公开**，还要拿弱配置 short id 的 REALITY 和拉满配置的 TLS 双向认证比，哪有这么比的？**双向认证又不是强制的，你要开这个就把 short id 等同地配成 2^64，或者给 REALITY 也开 TLS 双向认证**，此外他提到的 ID-forward secrecy 我努力理解为他认为认证必须是 certificate-based 才好，不是，这只是认证又不涉及加密，**纵览全文他似乎总是觉得有个 certificate-based 的认证就多了不起、对加密有什么谜之加成，然而加密安全性上大家都是 ECDHE，反而引入 certificate 机制导致了引入了更多的攻击面，如证书链攻击，本质上远不如固定的 pin 安全

他的第二点是 先假设客户端 key_share 对应的临时私钥泄露了**，然后说此时 REALITY 能被 MITM，不是，**你客户端临时私钥都泄露了，流量都能全解密了，哪个 TLS 不能被 MITM？ 他一开始说 TLS 签了个 finished 能避免被 MITM，以及谜之提及双向认证，被我反驳后改为了 TLS 双向认证都是真证书能避免被 MITM，又被我反驳后最终承认这种情况下 TLS 也能被 MITM，**这又体现出了他以为 certificate-based 和双向认证会对加密安全性有谜之加成、没有仔细研究 TLSv1.3 的加密机制、且不知道 TLS 抗量子指的是什么**

然后现在呢？@gaungap 发现自己的分析和结论有严重问题后就装死不再回复，也不把错误的 Summary 改一下

还有 REALITY 比 TLS 更安全是因为前者默认能防证书链攻击，他一句也没提。**是 CA 想攻击你很难还是往你电脑里加个根证书很难？**

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#4283 Add Datagram transport
by @RPRX

我研究了一下 quic-go 和其 h3 的 EnableDatagrams，它可以被转译为 h2，Nginx 应该支持转发，只是不知道 ~~CF~~ CDN 是否支持

目前如果想做到 UDP 包走 XHTTP/3 datagram 是完全可行的，鉴于 UDP 可能被 Q 还可以允许配置为只让 UDP 包走 XHTTP/3

虽然路由也能做这件事，还有如果只想让少量 UDP 包走 XHTTP/3，还得把被代理流量的 UDP 443 禁了

Reply to this message to post a comment on GitHub.

尝试使用 MITM / h2c:// + domain fronting 绕过近期的 DoH 封锁

Xray-core v25.3.6 已正式推出，XHTTP: Beyond REALITY 更至第四版

XHTTP 服务端需要及时升级至该版本，以支持新版 XHTTP 客户端。

请支持一个 REALITY NFT：https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/2

如果你有余力，请支持一个 Project X NFT：https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1

Xray 接下来的重心转向 Vision Seed & VLESS Encryption，Windows Tun & GUI Client，以及 ECH 和 REALITY 抗量子更新。

💬 New comment on Xray-core#3260 Add VLESS seed configurations
by @RPRX

计划是这个版本就 REALITY 抗量子更新 + Vision Seed，下个版本就 ECH + VLESS Encryption，然后 Windows TUN 和 JSON 订阅

~~搞个无脑的 JSON 订阅给机场和小白用，分流爱好者狂喜，MXGA！~~

Reply to this message to post a comment on GitHub.

获悉近期 Stash 和 Loon 支持了 REALITY，其分享链接标准在 https://github.com/XTLS/Xray-core/discussions/716

此外 REALITY 结合 XHTTP 时默认是 stream-one，就是一个最简单的 HTTP 请求，可以支持一下

以及我看到很多人好奇 REALITY 和 ShadowTLS+SS2022 的区别，简单解释就是 REALITY 是 ECDHE 的真正 TLS，若客户端配置泄露了也不会威胁到数据安全；而 ShadowTLS+SS2022 是对称密码 PSK，若客户端配置泄露了可以解密过往及以后的所有流量。对比协议要看它们的底层原理，并不是它们似乎做了类似的事情就是相同、可互相替代的东西。

Xray-core 三月累积更新版本已 pre-release，主要包含大量针对 DNS 和 sockopt 的增强，以及其它几处修复，感谢各位贡献者

https://github.com/XTLS/Xray-core/releases/tag/v25.3.31

请支持一个 REALITY NFT：https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/2

如果你有余力，请支持一个 Project X NFT：https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1

受宇宙射线影响，Switch PLUX 协议的代码已由 AI 自动写完，今晚就发

Based on Xray-core 的都支持，README 列出的 Happ、FoXray、Streisand 都是免费的，以及其它没列出的 iOS 客户端，大都是免费的

其实 XHTTP 作为客户端的话，三个 mode 的代码都很简单，用其它语言实现并不复杂，协议已经定型不会大改了，未来可能会加原生 UDP 特性支持，以及给 Nginx 加 QUIC 拥塞控制增强，也就是合理提速

疑似 CF free plan 的 gRPC 寄了，影响所有与 gRPC 相关的业务，XHTTP 可暂时切换至 packet-up mode，这下又赢了

遇事不决，packet-up

据悉 CF free plan 的 gRPC 已恢复正常，这次事件展现了 XHTTP 的鲁棒性，因为 packet-up 依赖的是最难以出问题的普通 GET / POST 请求，并且你还能选用 UDP 的 QUIC，只需搭建一个 XHTTP 全都会有

这两天我想到 packet-up 还可以出一个衍生的“统一上传”模式以减少 POST 请求数，但鉴于 CF gRPC 迅速恢复正常，暂无实现时间表

cf出问题赢一次 cf好了又要赢一次

这就是双赢

大赢特赢

💬 New comment on Xray-core#4584 Build: Remove Windows ARM 32-bit build
by @RPRX

其实就是微软的锅，我觉得 Win8/10 就是 Win7 套壳，Win11 就是 Win10 套壳，明明可以一直滚动更新，为了卖新系统非要出个新版本号，现在 Win10 也快 EOL 了，估计 Win12 还是 Win7 的控制面板，系统出好几年了 UI 都还没统一，地狱笑话

Reply to this message to post a comment on GitHub.

没有 TPM2.0 你也配吗，资本家玩计划报废是自古以来了

💬 New comment on Xray-core#4584 Build: Remove Windows ARM 32-bit build
by @RPRX

而且重复卖系统这件事最明显的就是，当初 Win10 说是最后一个大版本，以后只滚动更新，后来换人了就直接不认账了，Win11 很多人都说明显就是计划报废旧电脑，逼你买新电脑顺带强制重新买一份 Windows（笔记本，还没得选），带着厂商一起赢

Reply to this message to post a comment on GitHub.